Datenschutz: Nicht auf die leichte Schulter nehmen!
Januar 23, 2018 - 15:18
Die DSGVO verlangt ab Mai 2018 konkrete Datenschutz-Maßnahmen von allen Unternehmen. Was speziell auf Steuerberater und Buchhalter zukommt, erklärt Rechtsanwalt und Datenschutzexperte Mag. Michael Hirth im Expertengespräch mit dvo-Geschäftsführer Franz Nowotny.
Franz Nowotny: Die DSGVO ist jetzt in aller Munde. Ist das nur übertriebene Panikmache?
Michael Hirth: Das ist definitiv nicht übertrieben, auch weil die Strafandrohungen massiv erhöht wurden. Die DSGVO ist bereits in Kraft und bis 25. Mai 2018 müssen alle Datenanwendungen an die neue Rechtslage angepasst sein. Das betrifft alle Unternehmen, die personenbezogene Daten verarbeiten.
Also auch Steuerberater und Buchhalter?
Selbstverständlich. Steuerberater verarbeiten Personaldaten, Lohndaten, Firmendaten, aber auch die Daten der eigenen Mitarbeiter, und verfügen üblicherweise über eine Klientendatenbank: Alles Daten, über die eine Person identifiziert oder identifizierbar ist; sie sind daher von der DSGVO betroffen.
Welche sind die wichtigsten Neuerungen, die die DSGVO bringt?
Zunächst: Die Strafdrohungen wurden vervielfacht. Bei Verstößen drohen Strafen von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Konzernumsatzes. Zudem wurden die Informationspflichten und Betroffenenrechte deutlich erweitert. Betroffene haben unter anderem das Recht auf Auskunft, Löschung und Übertragung ihrer Daten. Datenverarbeitende Unternehmen müssen nachweisen, dass personenbezogene Daten rechtmäßig verarbeitet werden. Dazu ist ein Verzeichnis aller Prozesse zu führen, in denen personenbezogene Daten verarbeitet werden. Dieses Verzeichnis muss man auf Anfrage der Datenschutzbehörde vorlegen. Es ist zudem eine gute Informationsquelle, wenn zum Beispiel ein Klient seine Rechte auf Auskunft oder Löschung seiner Daten geltend macht.
Was müssen Steuerberater und Buchhalter besonders beachten?
Sie sollten vor allem darauf achten, dass jede Verarbeitung von personenbezogenen Daten auf einem Rechtfertigungsgrund basiert: beispielsweise aufgrund einer gesetzlichen Verpflichtung oder mit Einwilligung der Person oder aus einem anderen berechtigten Interesse. Die Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck notwendig ist. Und sie müssen gelöscht werden, sobald der Zweck erfüllt ist. Wichtig ist es auch, die nötigen technischen und organisatorischen Maßnahmen zur Datensicherheit zu treffen.
Haben Sie Tipps, wie man am besten an das Thema herangeht?
Zunächst ist es unumgänglich, sich einen Überblick über die Datenverarbeitungen zu verschaffen. Ebenfalls wichtig ist es, die EDV-Systeme aktuell zu halten, Virensoftware einzusetzen und regelmäßig die Daten zu sichern. Zur Datensicherheit gehört es auch, dass die Passwörter der Mitarbeiter Mindestanforderungen entsprechen und dass Mitarbeiter immer nur auf jene Daten Zugriff haben, die sie auch für ihre Arbeit benötigen. Kanzleien sollten sich folgende Fragen stellen: Habe ich eine Rechtsgrundlage für meine erfassten Daten? Kann ich die Betroffenenrechte erfüllen? Kann ich im Fall einer Datenpanne meiner Meldepflicht nachkommen? Kann ich eine vollständige Löschung vornehmen? Informiere ich die Personen, von denen ich Daten verarbeite, auch entsprechend?
Was ist dabei Ihrer Erfahrung nach die größte Herausforderung?
Meines Erachtens ist dies unter anderem die Umsetzung der Löschverpflichtung. Wenn eine Person verlangt, dass all ihre Daten gelöscht werden, ist das mitunter problematisch, da gängige Softwareprogramme, vor allem was Archive und Backups betrifft, nur eingeschränkte Löschfunktionen aufweisen. Auch Auskunftsbegehren ist mitunter schwierig nachzukommen, weil der Verantwortliche Auskunft darüber geben muss, welche Daten er zu welchem Zweck verarbeitet und wie lange diese gespeichert werden. Wenn es der Betroffene verlangt, ist zudem eine Kopie aller über ihn gespeicherten Daten bereitzustellen.
In beiden Fällen ist das bereits angesprochene Verfahrensverzeichnis eine große Unterstützung.
Bringt die DSGVO in Ihren Augen auch Vorteile mit sich?
Sie ist sicherlich ein Anlass, einen Reorganisationsprozess zu starten und Altlasten, insbesondere was den Datenbestand betrifft, zu sanieren. Eine Reorganisation kann auch bedeuten, die Sicherung der Daten besser zu organisieren und sie zum Beispiel lieber extern zu speichern. Dabei sollte man aber im Interesse der Datensicherheit auf einen Anbieter aus Österreich oder der EU zurückgreifen. Werden personenbezogene Daten außerhalb der EU gespeichert, darf dies nur geschehen, wenn ein angemessenes Schutzniveau gewährleistet ist.
Sind Sie DSGVO-fit? Testen Sie das Datenschutzniveau Ihres Unternehmens auf https://lhra.at/datenschutztest/
Stichwörter: Datenschutz, Digitalisierung, DSGVO, EU-Datenschutz-Grundverordnung, Franz Nowotny, Kanzlei, Mag. Michael Hirth
